Search Protect i Strong Signal

[Adalbert]

Witam

Chciałbym pozbyć się oprogramowania Search Protect oraz pozostałości po Strong Signal. Z góry dziękuję za pomoc.

 

Edit 2015.03.11: temat nadal aktualny.

Edit 2015.03.16: temat nadal aktualny.

gmer.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

1. Przez Panel sterowania odinstaluj stare wersje i zbędniki: Adobe Reader 9.1 MUI, ASUS WebStorage.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-05-16] (StdLib)
R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system)
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-12] (SysTool PasSame LIMITED)
S2 Update webget; "C:\Program Files (x86)\webget\updatewebget.exe" [X]
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms}
HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP
HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms}
HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP
HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&ts=1423735149&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&ts=1423735149&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&ts=1423735149&type=default&q={searchTerms}
BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited)
BHO-x32: Strong Signal -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> C:\Program Files (x86)\Strong Signal\Extensions\c723a437-2eaf-466d-a95b-3fa0966bf88c.dll No File
CHR HomePage: Default -> hxxp://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP
CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP"
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation)
FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\ZST2\AppData\Roaming\Mozilla\Firefox\Profiles\rnjoc2g5.default-1394660289860\extensions\fftoolbar2014@etech.com
Task: {89D35390-E23B-4F9A-87B4-2FE814087571} - System32\Tasks\{DF4D094B-0912-448A-B8FE-49BF8AC1166A} => pcalua.exe -a "C:\Program Files (x86)\HDvid Codec V6.0\Uninstall.exe" -c /fromcontrolpanel=1
Task: {B0ED85DC-C320-46DD-B868-86E87DBB3612} - System32\Tasks\{EEEF41B2-B597-4575-8C03-5BE3F67C0C49} => pcalua.exe -a "D:\Downloads\sonicstage [1].exe" -d D:\Downloads
HKU\S-1-5-21-2304537269-2391276559-412557570-1000\...\MountPoints2: {9dc4f8c3-95cc-11e4-848e-485b395ba884} - F:\_AUTORUN\AUTORUN.EXE
HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> none
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Program Files (x86)\XTab
C:\ProgramData\{*}.log
C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce
C:\ProgramData\IHProtectUpDate
C:\ProgramData\WindowsMangerProtect
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk
C:\Users\ZST2\AppData\Local\{976222BF-FF50-4DE1-95D6-C4AC44D37A0A}
C:\Users\ZST2\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\ZST2\AppData\Roaming\key-find
C:\Users\ZST2\AppData\Roaming\Microsoft\Excel\wersja%20pierwsza%20Zestawienie%20uczestników%20pr304177612576894628\wersja%20pierwsza%20Zestawienie%20uczestników%20projektu222.xls.lnk
C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUS WebStorage" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.

 

4. W Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jeszcze gdzieś widoczne problemy.

[Adalbert]

Kroki wykonane, logi w załączniku, na razie problemów nie widać.

Laptop nieco muli, pewnie ze względu na małą ilość RAM-u, jakieś sugestie co można zmienić/usunąć?

Czytałem o dużej zasobożerni Adblock Plusa, planuję zastąpić go uBlockiem. Chciałem jeszcze dograć coś typu Disconnect i Ghostery - czy jest sens dublowania tego typu narzędzi? Jakieś sugestie?

FRST.txt

Fixlog.txt

[picasso]

Jeśli chodzi o czyszczenie z adware, wszystko pomyślnie wykonane. Teraz:

 

Uruchom AdwCleaner. Wybierz na razie tylko Szukaj (nie stosuj jeszcze Usuń) i zaprezentuj log z folderu C:\AdwCleaner.

 

 

Laptop nieco muli, pewnie ze względu na małą ilość RAM-u, jakieś sugestie co można zmienić/usunąć?

Statystyki RAM z pierwszego zestawu raportów:

 

==================== Memory info ===========================
 

Processor: Intel® Core™ i3 CPU M 350 @ 2.27GHz

Percentage of memory in use: 72%

Total physical RAM: 1964.36 MB

Available physical RAM: 542.45 MB

Total Pagefile: 3928.71 MB

Available Pagefile: 2024.2 MB

Total Virtual: 8192 MB

Available Virtual: 8191.81 MB

 

W raportach nic nie rzuca się w oczy. Mógłyś jeszcze przewertować inne zintegrowane ASUSowe aplikacje i odinstalować to co zbędne.

 

==================== Installed Programs ======================
 

ASUS AP Bank (HKLM-x32\...\ASUS AP Bank_is1) (Version: 1.0.0.0 - ASUSTEK) ----> "sklep" / ofery trial, etc.

ASUS CopyProtect (HKLM-x32\...\{6B77A7F6-DD63-4F13-A6FF-83137A5AC354}) (Version: 1.0.0015 - ASUS) ----> zabezpieczenie przed nieautoryzowanym kopiowaniem danych

ASUS FancyStart (HKLM-x32\...\{2B81872B-A054-48DA-BE3B-FA5C164C303A}) (Version: 1.0.8 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania

ASUS LifeFrame3 (HKLM-x32\...\{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}) (Version: 3.0.20 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą

ASUS Live Update (HKLM-x32\...\{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}) (Version: 2.5.9 - ASUS) ----> autoaktualizacja sterowników / BIOS

ASUS MultiFrame (HKLM-x32\...\{9D48531D-2135-49FC-BC29-ACCDA5396A76}) (Version: 1.0.0021 - ASUS) ----> system dzielenia okien

ASUS Power4Gear Hybrid (HKLM\...\{91EFE3A1-585E-4F66-B5F6-F118F56C4C47}) (Version: 1.1.30 - ASUS) ----> tweaker zasilania

ASUS SmartLogon (HKLM-x32\...\{64452561-169F-4A36-A2FF-B5E118EC65F5}) (Version: 1.0.0008 - ASUS) ----> logowanie do komputera za pomocą rozpoznawania twarzy

ASUS Splendid Video Enhancement Technology (HKLM-x32\...\{0969AF05-4FF6-4C00-9406-43599238DE0D}) (Version: 1.02.0028 - ASUS) ----> asusowe "poprawianie" jakości obrazu

Asystent rejestracji usługi Windows Live (HKLM-x32\...\{74CC5B4D-CBB5-46F1-82B0-3169977B1D36}) (Version: 5.000.818.6 - Microsoft Corporation)

ControlDeck (HKLM-x32\...\{5B65EF64-1DFA-414A-8C94-7BB726158E21}) (Version: 1.0.5 - ASUS)

CyberLink LabelPrint (HKLM-x32\...\InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}) (Version: 2.5.1908 - CyberLink Corp.)

CyberLink Power2Go (HKLM-x32\...\InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 6.1.3602c - CyberLink Corp.)

Fast Boot (HKLM\...\{13F4A7F3-EABC-4261-AF6B-1317777F0755}) (Version: 1.0.5 - ASUS) ----> menedżer startu

Narzędzie do przekazywania usługi Windows Live (HKLM-x32\...\{205C6BDD-7B73-42DE-8505-9A093F35A238}) (Version: 14.0.8014.1029 - Microsoft Corporation)

Podstawowe programy Windows Live (HKLM-x32\...\WinLiveSuite_Wave3) (Version: 14.0.8050.1202 - Microsoft Corporation)

Windows Live Sync (HKLM-x32\...\{C3335EFB-008F-44DB-A87A-9EC8EE53D045}) (Version: 14.0.8050.1202 - Microsoft Corporation)

 

 

Czytałem o dużej zasobożerni Adblock Plusa, planuję zastąpić go uBlockiem. Chciałem jeszcze dograć coś typu Disconnect i Ghostery - czy jest sens dublowania tego typu narzędzi? Jakieś sugestie?

Oczywiście możesz to wgrać, ale nie powielaj funkcji. Albo Disconnect, albo Ghostery. Jeśli wybór panie na Ghostery, nie zaznaczaj udziału w GhostRank - to niepożądana funkcja wykluczająca się z zadaniem zasadniczym.

[Adalbert]

Skan AdwCleaner wykonany, log w załączniku.

Statystyki RAM takie dobre, bo przy wyłączonych przeglądarkach. Ale już po wykonanych krokach jest lepiej, liczę że odchudzenie przeglądarek z ABP przyniesie korzyści.

Odinstalowałem część oprogramowania i zaktualizowałem co wiedziałem.

A w przeglądarkach zostałem ostatecznie przy 3 rozszerzeniach: uBlock, Disconnect i HTTPS everywhere.

 

Jeszcze 2 pytania.

• Pobieżnie szukając informacji nt. Search Protect i Strong Signal natrafiłem na kwestię wykradania danych. Czy którekolwiek niechciane oprogramowanie znajdujące się na tym komputerze ma w swoim profilu działania wykradanie danych (np. logowania), czy to czysty adware?
• Zastanawiam się jeszcze nad zmianą antywirusa MSE na Panda Free Antivirus (z raportów av-test wynika, że ma znacznie lepsze wykrywanie i jest mniej zasobożerny przez korzystanie z chmury) oraz na zainstalowaniu Malwarebytes Anti-Exploit, CryptoPrevent oraz SpywareBlaster. Jakieś sugestie?

Edit 2015.03.22

Jednak problem ze spowolnieniem dalej występuje. Zauważyłem, że tuż po uruchomieniu systemu, proces "Proces hosta dla usług systemu Windows" (svchost.exe z lokalizacji C:\Windows\System32) zabiera coraz więcej pamięci operacyjnej i potrafi dojść prawie do 1GB. Dodatkowo po kilku minutach od włączenia proces "Instalator modułów systemu Windows" (TrustedInstaller.exe z lokalizacji C:\Windows\servicing) zabiera pełny jeden wątek procesora (wykorzystanie 25%) i swoje w RAM-ie też odkłada (kilkaset MB). Prowadzi to do wykorzystania ponad 90% RAM-u, a wtedy wszystkie operacje mocno lagują. Czy to normalne zachowanie tych procesów? Można coś z tym zrobić?

 

Edit 2015.03.30: temat nadal aktualny.

Edit 2015.05.05: temat nadal aktualny. Czy potrzebne nowe logi? Komputer był używany (ale nic chyba nie było instalowane).

AdwCleanerR0.txt